Одолели вирусы
Cureit слегка почистил, но зараза осталась.
Скрипт лечения/карантина ребутает комп на примерно 60% работы
IE не запускается вообще.
Остальные логи прилагаю.
Одолели вирусы
Cureit слегка почистил, но зараза осталась.
Скрипт лечения/карантина ребутает комп на примерно 60% работы
IE не запускается вообще.
Остальные логи прилагаю.
Последний раз редактировалось glit; 03.04.2009 в 22:44.
ContentSaver, RuPass и ConnectionServices - это Adware
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\kerneldrv.exe'); SetServiceStart('Akx18', 4); StopService('Akx18'); SetServiceStart('Xge86', 4); StopService('Xge86'); SetServiceStart('Vsm42', 4); StopService('Vsm42'); SetServiceStart('Ebd74', 4); StopService('Ebd74'); SetServiceStart('Anf80', 4); StopService('Anf80'); SetServiceStart('Ulr85', 4); StopService('Ulr85'); SetServiceStart('Tsl41', 4); StopService('Tsl41'); SetServiceStart('Fkn77', 4); StopService('Fkn77'); SetServiceStart('Etf41', 4); StopService('Etf41'); SetServiceStart('Fnt18', 4); StopService('Fnt18'); SetServiceStart('Tfo28', 4); StopService('Tfo28'); SetServiceStart('Hot00', 4); StopService('Hot00'); SetServiceStart('Gwd52', 4); StopService('Gwd52'); SetServiceStart('Jdj74', 4); StopService('Jdj74'); SetServiceStart('Sun41', 4); StopService('Sun41'); SetServiceStart('Suf41', 4); StopService('Suf41'); SetServiceStart('Oee20', 4); StopService('Oee20'); SetServiceStart('Lin30', 4); StopService('Lin30'); SetServiceStart('Koy30', 4); StopService('Koy30'); SetServiceStart('Rmr06', 4); StopService('Rmr06'); SetServiceStart('Rcx33', 4); StopService('Rcx33'); SetServiceStart('Pdn64', 4); StopService('Pdn64'); SetServiceStart('Pns17', 4); StopService('Pns17'); SetServiceStart('Pgw74', 4); StopService('Pgw74'); QuarantineFile('C:\WINDOWS\system32\msupdtck.exe',''); QuarantineFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe',''); QuarantineFile('C:\WINDOWS\system32\wind32.exe',''); QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\21.tmp/r',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xge86.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Vsm42.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ulr85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tsl41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Tfo28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Sun41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Suf41.sys',''); QuarantineFile('D:\NTGLM7X.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rmr06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rcx33.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pns17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pgw74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Pdn64.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Oee20.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Lin30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Koy30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jdj74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Hot00.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gwd52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Fnt18.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Fkn77.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Etf41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Ebd74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Anf80.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Akx18.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\cdrbsdrv.sys',''); QuarantineFile('C:\WINDOWS\system32\1033z.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys',''); QuarantineFile('C:\WINDOWS\System32\Dll.dll',''); QuarantineFile('c:\windows\system32\kerneldrv.exe',''); DeleteFile('c:\windows\system32\kerneldrv.exe'); DeleteFile('C:\WINDOWS\System32\Dll.dll'); DeleteFile('C:\WINDOWS\System32\lanmandrv.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Akx18.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Anf80.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ebd74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Etf41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fkn77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Fnt18.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Gwd52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Hot00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jdj74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Koy30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Lin30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Oee20.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pdn64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pgw74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Pns17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rcx33.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rmr06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Suf41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Sun41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tfo28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Tsl41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Ulr85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Vsm42.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xge86.sys'); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\21.tmp/r'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe'); DeleteFile('C:\WINDOWS\system32\wind32.exe'); DeleteFile('C:\WINDOWS\system32\n2ewma1xxsv2234.exe'); BC_ImportAll; BC_DeleteSvc('Xge86'); BC_DeleteSvc('Akx18'); BC_DeleteSvc('Vsm42'); BC_DeleteSvc('Anf80'); BC_DeleteSvc('Tsl41'); BC_DeleteSvc('Ulr85'); BC_DeleteSvc('Ebd74'); BC_DeleteSvc('Etf41'); BC_DeleteSvc('Fkn77'); BC_DeleteSvc('Tfo28'); BC_DeleteSvc('Fnt18'); BC_DeleteSvc('Gwd52'); BC_DeleteSvc('Sun41'); BC_DeleteSvc('Hot00'); BC_DeleteSvc('Suf41'); BC_DeleteSvc('Jdj74'); BC_DeleteSvc('Koy30'); BC_DeleteSvc('Lin30'); BC_DeleteSvc('Rcx33'); BC_DeleteSvc('Pns17'); BC_DeleteSvc('Oee20'); BC_DeleteSvc('Rmr06'); BC_DeleteSvc('Pgw74'); BC_DeleteSvc('Pdn64'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19971
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логиКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
Логи стали выполняться все, ie запускается, карантин (ненулевые файлы приложил)
Но это кажется еще не все
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, - я не нашел и появился жуткий тормоз при запуске компутера (1-2 минуты)
Последний раз редактировалось glit; 03.04.2009 в 22:44.
чем вы зверей кормите .... что они у вас так хорошо размножаются ?
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe',''); QuarantineFile('C:\WINDOWS\system32\msupdtck.exe',''); BC_DeleteSvc('symavc32'); QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys',''); QuarantineFile('C:\WINDOWS\system32\1033z.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys'); DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe'); DeleteFile('C:\WINDOWS\system32\msupdtck.exe'); DeleteFile('C:\WINDOWS\system32\1033z.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Так это не у меня а у знакомого бухгалтера
Карантин выслал, но в него нового почти ничего не попало
Логи через 5-10 минут
Вот и логи...
Последний раз редактировалось glit; 03.04.2009 в 22:44.
Поищите при помощи АВЗ сервис--поиск файлов на диске 3com_dmigy.exe. Пришлите его согласно приложению 2 правил.
Добавлено через 1 минуту
Как чувствует себя система?
Последний раз редактировалось wise-wistful; 17.03.2008 в 14:37. Причина: Добавлено
Файл находит, но в карантин не добавляет
пишет
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\3com_dmigy.exe)
Карантин с использованием прямого чтения - ОК
Файл успешно помещен в карантин (C:\WINDOWS\system32\3com_dmigy.exe)
Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе безопасных файлов. Мы будем Вам очень благодарны!
Привет бухгалтеру
Как чувствует себя система?
Последний раз редактировалось wise-wistful; 17.03.2008 в 15:24.
он то помещен, но перед этим идет ошибка, и файл 0-ой длины.
Добавлено через 9 минут
файл имеет атрибут системного, размер - 42 кб
рядом с ним 3com_dmig.dll - на тоталвирус распознается 22-мя антивирусами
например как Backdoor.Win32.Agent.ejv
Добавлено через 4 минуты
ни dr web ни nod32 - который стоит на системе его не распознают...
надо как-то вычистить...
Добавлено через 11 минут
Наконец смог добавить через safe mode (предварительно удалив 0-ой файл из карантина - глюк?)
Закачал
Последний раз редактировалось glit; 17.03.2008 в 16:22. Причина: Добавлено
Да, парочка оказалась нехорошей. 3com_dmigy.exe - Backdoor.Win32.IRCBot.byr, 3com_dmig.dll - Backdoor.Win32.Agent.ejv. Выполните в АВЗ
Повторите логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\3com_dmigy.exe'); DeleteFile('C:\WINDOWS\system32\3com_dmig.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Скрипт прогнал, это зараза пропала... но комп после включения все еще некоторое время тормозит - загрузка 0%, но taskbar не отвечает (и explorer) около минуты
Последний раз редактировалось glit; 03.04.2009 в 22:44.
Поищите ещё при помощи АВЗ сервис поиск файлов на диске 3ivxDSMediaMuxk.exe, activedsm.exe и 3ivxDSAudioDecoderd.exe и вышлите их согласно приложения 2 правил.
вот они мне тоже не нравятся
первые 3ivx... пошли сами а вот activedsm.exe не захотел... сейчас через safe закину
Добавлено через 3 минуты
и размер у них подходящий....
Добавлено через 1 минуту
закачал...
Добавлено через 3 минуты
и virustotal... на них реагирует... не резко но все-таки подозрительно
Последний раз редактировалось glit; 17.03.2008 в 17:28. Причина: Добавлено
activedsm.exe - Backdoor.Win32.IRCBot.byr.
Выполните в АВЗ для его убиения.
По сладкой парочке подождём ответа Вирлаба.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('RpcSsEventSystem', 4); StopService('RpcSsEventSystem'); DeleteFile('C:\WINDOWS\system32\activedsm.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('RpcSsEventSystem'); BC_Activate; RebootWindows(true); end.
Последний раз редактировалось wise-wistful; 17.03.2008 в 17:36. Причина: Добавлено
что-то еще точно живет
Добавлено через 2 минуты
Nod32 находит WIn32/Nuwar.Gen worm при сканировании system32 во многих файлах
Последний раз редактировалось glit; 17.03.2008 в 17:45. Причина: Добавлено
3ivxDSAudioDecoderd.exe и 3ivxDSMediaMuxk.exe- Trojan.Win32.Inject.agh. Посему в АВЗ выполните:
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Wmihelpsvc', 4); StopService('Wmihelpsvc'); SetServiceStart('SamSsCryptSvc', 4); StopService('SamSsCryptSvc'); DeleteFile('C:\WINDOWS\system32\3ivxDSAudioDecoderd.exe'); DeleteFile('C:\WINDOWS\system32\3ivxDSMediaMuxk.exe'); BC_ImportDeletedList; BC_DeleteSvc('Wmihelpsvc'); BC_DeleteSvc('SamSsCryptSvc'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделал
Все равно какой-то небольшой (около минуты) тормоз при старте
Последний раз редактировалось glit; 03.04.2009 в 22:44.
Уважаемый(ая) glit, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.